In einer freien Gesellschaft wird es immer unbeobachtete Räume geben, in denen kriminelles Verhalten möglich ist. Damit muss eine Gesellschaft klar kommen. Der Preis für die Beseitigung dieser Räume wäre viel, viel höher.
In der Vergangenheit war manches kriminalisiert, das es heute nicht mehr ist. Homosexualität zB. Hätte es überhaupt zu einer Legalisierung kommen können, wenn es zuvor keine Möglichkeit gegeben hätte, das Gesetz zu brechen?
Ich bin überzeugt, dass eine totalüberwachte Gesellschaft stagnieren wird.
Auch das nicht. Im Gegensatz zu GOS sind erhältliche „andere alternative Betriebssysteme“ deutlich leichter zu knacken. Auch deutlich leichter als die Stock OS von z.B. Apple, Google, Samsung.
Leider bin ich nicht so tief in den „Sicherheitsmechanismen“ versch. Betriebssysteme drin, kann also nicht sagen ob deine Aussage zutrifft. Da müsste ich jetzt Fragen ob das Passwort/ PIN „12345“ zum einloggen auf GOS schwieriger zu knacken wäre also unter Lineage OS oder andere Systemen. Das Tool der Wahl wird wohl Cellebrite sein das über USB angeschlossen wird.
What about GrapheneOS? According to the documents, Cellebrite admits they can not hack GrapheneOS if users had installed updates since late 2022… So, according to Cellebrite documents, they can not unlock fully patched GrapheneOS phone, unless user voluntary unlocks the phone. In fact, analysis of Cellebrite’s documents shows, that they even can not brute force a random 6-digit PIN on Pixel 6 and later phones (which are the phones supported by GrapheneOS). Cellebrite’s documents reveal, that Pixel 6 phones and later with GrapheneOS (and the latest iPhones also), are the only devices where a random 6 digit PIN can not be brute forced.
Ja es gibt genau 2 Systeme denen ich sicherheitstechnisch vertraue. IOS und grapheneOS. Customroms sind alleine auf Grund des meist offenen Bootloaders kein Thema für die cellebrite Touch.
Ich finde es bemerkenswert das man versucht Menschen die auf ihre Privatsphäre und Sicherheit achten zu kriminalisieren.
Was seit nun > 5 Jahren bei den vernünftigen (AXP Slim, Calyx, iodé) Custom-Roms kein Problem mehr ist. Die einzigen, die es nicht richtig machen (obwohl sie den Bootloader sperren) sind /e/. Die sind alle was Stabilität, Einfachheit der Installation (Webinstaller oder nur zu startendes Installationsskript) und Sicherheit angeht vollwertige CustomOS. Inwiefern man einfacher in ein mit Bootloader verschlossenes Calyx kommt, als in ein Stock-Xiami, hast du leider immer noch nicht erklären können. Ist der Bootloader (obwohl niemand den Schlüssel kennt), unsicherer geschlossen als bei Stock OS?
Also das muss man wohl nicht fragen, oder? Wenn man das Passwort kennt, braucht man gar nix „knacken“ oder hacken. Und die Verwendung eines so schwachen Passworts ist quasi gleichzusetzen mit jeder kennt das Passwort. Hierbei geht es darum, wie man an die Daten eines Smartphones kommt, ohne ein sicheres Passwort/PIN zu wissen bzw. ohne den User irgendwie dazu verführen zu können, aktiv eine Malware zu installieren, die das Eindringen und Auslesen ermöglicht. Aber auch gegen letztgenanntes schützt GOS deutlich besser als andere.
Aus den dort gezeigten Tabellen (die und mehr man auch auf der Webseite von Cellebrite direkt einsehen kann) geht hervor dass GOS-Pixels die einzigen sind, die bei denen nicht nur ein Angriff BFU (Before First Unlock: nach einem Reboot, noch kein einziges Mal entsperrt), sondern auch AFU (After First Unlock, schon mal entsperrt, wieder gesperrt) nicht möglich sind (außer bei GOS Versionen von 2022 und früher). Sogar bei den aktuellen iPhones kommen die zumindest AFU rein.
Ich bin im Besitz von einigen mobilen Forensik Tools was soll ich dir da erklären? Bootloader offen, developer Options oder adb aktiviert liest man ein solches Gerät problemlos aus
Der Bootloader ist ja bei solchen Geräten (Calyx, iodé, AXP Slim) in der Regel geschlossen, ADB deaktiviert und kein Root vorhanden (das ist der Grund, weshalb ich hier AXP Pro ausnehme, wo ja Root trotz geschlossenem Bootloader und deaktivierten ADB vorhanden ist). Nur die Developer Options sind aktiviert. Also: Inwieweit unterscheidet sich diese Konfiguration von einem Nicht-Pixel-Gerät mit StockOS (mit aktivierten Developer Options)? Bekommst du das dann einfacher/schneller auf? Warum?
Nein nicht schneller aber genauso schnell… Es gibt ansich nur zwei Hersteller die halbwegs sicher gegen derartige Angriffe sind. Das ist Apple und Google… Bei Google ist es sicherer mit grapheneOS alles andere stellt bei Datenextraktion so gut wie keine Probleme dar.
Okay. Weil so, wie du das in den meisten Posts ausdrückst, klingt es danach, als wären CustomOS mit geschlossenen Bootloader per se unsicherer als StockOS auf dem gleichen Gerät. Und um Belege dafür hatte ich dich schon mehrmals gefragt und nie eine Antwort bekommen. Eigene Recherchen brachten mir da auch keine hilfreichen Informationen (wenn ich welche erhalten hätte, hätte ich mich auch sehr gewundert). Anscheinend ein Missverständnis zwischen mir und dir.
Das GrapheneOS, iOS, (vielleicht hierzwischen CopperheadOS, aber nichts genaues weiß man halt nicht (ist ja closed-source),) Google PixelOS und andere OS mit mit nicht-öffentlichen Signierschlüssel geschlossenen Bootloader auf Google Pixel sicherer als alle anderen Smartphones sind, ist natürlich unbestreitbar. Wünschenswert wäre es echt, wenn es irgendwann mal ein modulares Gerät mit den Anforderungen von Graphene geben würde.
Laut einigen Aussagen von Daniel Micay, dem ehemaligen Hauptentwickler und (Mit-)Gründer, der 2018 ausgestiegen ist und GrapheneOS gegründet hat, sowie anderen GOS-Mitarbeitern, kann man Copperhead in der Hinsicht wohl so ziemlich vergessen. Bei Micays Ausstieg damals ging es um schwerwiegende Differenzen, u.a. auch finanzielle Veruntreuung seitens des Copperhead CEO. Dem soll es bis heute vornehmlich darum gehen, mit leeren Versprechungen und möglichst geringem Aufwand größtmöglichen finanziellen Gewinn zu erzielen. In der Entwicklung scheint da wohl auch nichts mehr zu passieren, die „aktuelle“ Version ist ein initiales Android 14 Release von Ende 2023, seitdem kam da nix mehr.
Mir ging es, in Bezug auf Celebrite, vor allem um die öffentlichen Signing keys bei /e/OS. Aber ja, bei /e/ geht in Bezug auf Sicherheit so einiges schief.
Hm… der verlinkte Thread klingt vom Tonfall her eher nach persönlicher Fehde, und die im Link verlinkten Links beschreiben irgendwie eher ältliche Zustände bei /e/OS.
Ich möchte etwaig berechtigte Sorgen gar nicht wegwischen, aber bisher kann ich noch nicht erkennen, ob das Urteil über /e/OS eins der einmal gefassten und nie wieder geprüften Sorte ist, oder ob es aktuelle Bedenken bewertet.
Naja e/os ist nicht auf Sicherheit konzipiert. Eher auf weniger Datenabfluss zu Google. Wenn man es als solches sieht, ist es glaube ich in Ordnung das OS auf zB sonst nicht mehr unterstützte Geräte zu installieren. Ich habe noch ein Galaxy s9 auf dem (eher testweise) e/OS läuft….
Doch, kann man. Wenn eine Telebanking App drauf ist/war. Man ist nämlich vertraglich dazu verpflichtet, die Zugangsdaten geheim zu halten und an niemanden weiter zu geben.
Für Mißbrauch durch meine Unachtsamkeit ist sonst der Benützer/Kontoinhaber haftbar. Selbiges gilt für alle Zugangsdaten für irgendwelche Apps, deren unbefugte Verwendung Geldtransfers, Käufe u. dgl. auslösen könnten.
Das wäre zumindest meine Argumentation und ich würde ohne mit der Wimper zu zucken den Duress Pin eingeben. Vorher würde ich allerdings noch versuchen, die Lage ruhig und diplomatisch einwandfrei zu klären: Akteneinsicht und anwaltlichen Beistand verlangen, in aller Ruhe darüber reden, was überhaupt los ist. Wenn das von der Polizei nicht gewährt wird, was spricht dann noch dagegen? Ich mache dann für mich eine hohe Bedrohungslage und Gefahr im Verzug geltend.
Ein Szenario, das mir da beispielsweise vorschwebt, wo so etwas passieren könnte, wäre z.B. eine Drogenrazzia auf einem Bahnhof, in die man als unbeteiligter Bahnreisender zufällig hineingerät. Man sollte natürlich mit dem Anlaß der ganzen Sache tatsächlich nichts zu tun haben.
Die Gefahr die heutzutage immer da ist, ist das man plötzlich bei Nutzung seiner freiheitlich demokratischen Grundrechte in die kriminelle Ecke geschoben wird. Man sollte vielmehr darüber nachdenken wie freiheitlich demokratisch es ist auf ein fremdes Smartphone Zugriff nehmen zu wollen.
Um es kurz zu machen …
Ich darf in Deutschland jederzeit mein Telefon löschen wann immer ich es für richtig halte (Achtung es gibt Ausnahmen), ich darf bei Aussagen lügen das sich die Balken biegen und ich muss mich niemals und in keinster Weise selbst beschuldigen bzw mich selbst belasten. Selbst der Unsinn das man als Beschuldigter vereidigt wird, grasiert immer noch hier und da. Auch das gibt es in Deutschland nicht.
Wenn mir von einer Behörde willkürlich aufgezwungen werden soll mein Smartphone zu entsperren, lösche ich es auch und es kann mich niemand dafür rankriegen. (Achtung im Fall das ich beschuldigter einer Straftat bin bitte nicht löschen)
Jetzt kommt eventuell wieder jemand der erzählt das die Polizei meinen Finger ja zum entsperren nutzen darf… hier wurde ein altes Gesetz ummodeliert in dem es eigentlich darum geht Fingerabdrücke zur Personenidentifizierung abnehmen zu dürfen. Des weiteren darf das nur mit dem OK des Richters passieren. Und selbst dann beißen die Kollegen sich die Zähne aus wenn der 2. Faktor eingeschaltet ist. Hier gilt wieder ich muss mich nicht selbst belasten. Und wenn mich ein eifriger Ordnungshüter zwingen will, gebe ich den Duress Pin ein.
Biometrie als Passwort zu nutzen ist keine gute Idee zumal ihr das Passwort offen mit euch herumtragt. Es kann jederzeit benutzt werden.
Gewöhnt euch daher an Biometrie als Nutzernamen zu verstehen und einen zweiten Faktor als Passwort.
Die Polizei MUSS Akteneinsicht gewähren wenn mein Anwalt dazu auffordert. Es gibt ja auch eine polizeilich angelegte Akte.. (Habe ich relativ häufig mit zu tun)
Als Beispiel…. Ich wurde auf Grund eines Stalking Deliktes angezeigt. Die Polizei lädt mich vor. Da gehe ich natürlich nicht hin sondern rufe stattdessen meinen Anwalt an. Dieser fordert die polizeiliche Akte an mit den Aussagen der Person die mich angezeigt hat. Damit bauen wir dann eine Verteidigungsstrategie auf.
Das wäre jetzt so ein typischer Fall wie er 1000 male in Deutschland vorkommt. Hier kann unter Umständen das Smartphone beschlagnahmt werden je nachdem was vorgefallen ist.